Apakah IPv6 setara dengan alamat IPv4 RFC1918?

28

Kesulitan membungkus kepala saya di sekitar IPv6 di sini. Banyak istilah tampaknya ditargetkan pada penyebaran IPv6 tingkat perusahaan, membahas tautan-lokal, situs-lokal, global unicast, cakupan, dll. Tidak banyak informasi padat tentang jaringan yang benar-benar kecil, seperti jaringan rumah. Saya ingin memeriksa pemikiran saya dan memastikan saya mendapatkan terjemahan yang benar dari IPv4-speak ke IPv6-speak.

Pertanyaan pertama adalah, apa yang setara dengan RFC1918 untuk IPv6? Pencarian awal menyarankan tidak ada yang setara. Kemudian saya menemukan Alamat Lokal Unik (RFC4193), dan menyatakan bahwa semua ULA harus diberi awalan fc00, diikuti oleh nomor acak 40-bit dalam awalan perutean. Nomor acak ini adalah untuk "mencegah tabrakan ketika dua jaringan IPv6 saling berhubungan" - lagi, referensi lain untuk fungsi tingkat perusahaan.

Jika saya memiliki LAN lokal kecil di rumah, menggunakan nomor 192.168.4.0/24, apa yang setara dengan saya dalam lingkup ULA IPv6? Dengan asumsi saya tidak akan pernah, mengikat alamat IPv6 ke internet yang sebenarnya (router akan NAT & firewall itu), dapatkah saya mengabaikan RFC sampai batas tertentu dan mengikuti fc00::4:0/120?

Tampaknya juga semua alamat di fc00::/7dapat dialihkan secara global. Apakah ini berarti saya akan memerlukan perlindungan tambahan sehingga router saya tidak akan secara otomatis mulai mengiklankan alamat IPv6 pribadi ini ke dunia?

Pertanyaan kedua, apa ini hal tautan-lokal? Membaca menyarankan alamat yang ditetapkan secara default dalam fe80::/10rentang yang memiliki 64 bit terakhir dari alamat yang terdiri dari alamat MAC antarmuka. Tampaknya diperlukan juga, tapi saya terganggu dengan diskusi terus-menerus sehubungan dengan jaringan perusahaan.

Pertanyaan ketiga, untuk apa id lingkup? Tampaknya ada istilah lain yang dilemparkan dalam kaitannya dengan jaringan perusahaan, terutama ketika menghubungkan mereka, tetapi hampir tidak ada penjelasan tentang tingkat jaringan rumah yang lebih kecil.

Bisakah saya melihat ID lingkup dan notasi CIDR digunakan bersama? Yaitu,, fc00::4:0/120%6atau apakah ID lingkup hanya seharusnya diterapkan ke satu / 128 alamat IPv6?

Kumba
sumber
Jika Anda mencari informasi yang lebih praktis tentang penerapan IPv6, tunnelbroker.net akan memberi Anda ruang IPv6 yang sebenarnya untuk Anda mainkan serta sejumlah tutorial dan latihan tentang masalah ini.
MikeyB
Asumsi Anda (tidak pernah mengikat itu ke internet) bodoh. Bagaimana jika Anda mulai bekerja untuk perusahaan dan Anda VPN dan mereka menggunakan jaringan yang sama? Memastikan ruang pribadi Anda unik belum tentu cocok untuk perusahaan - ada alasan bagus untuk tidak menggunakan 192.168.xx karena setiap router tampaknya dikonfigurasikan dengan ini dan pekerjaan berikutnya mungkin mengharuskan Anda untuk masuk ke perusahaan.
TomTom
1
@ TomTom, sementara "bodoh" secara teknis istilah netral, sering kali tidak begitu dalam penggunaan umum . Bahasa sehari-hari tampaknya tidak perlu kasar dan dapat dengan mudah diganti dengan "tidak benar" atau serupa.
tgm1024 - Monica dianiaya

Jawaban:

12

"Alamat Lokal Unik" persis seperti yang Anda cari. fc00::/7memberi Anda cukup bit bahwa jika Anda menghasilkan angka acak dan bukan hanya memilih satu kemungkinan tabrakan kecil.

Apakah ini berarti saya akan memerlukan perlindungan tambahan sehingga router saya tidak akan secara otomatis mulai mengiklankan alamat IPv6 pribadi ini ke dunia?

RFC yang mencakup ULA ini ( RFC4193 ) secara khusus menyatakan bahwa angka-angka ini tidak boleh dirutekankan di internet, meskipun dua rekan sejawat mungkin sepakat untuk melewati awalan tertentu. Kecuali Comcast memutuskan untuk merutekan secara sepihak ini (tidak mungkin dalam kondisi ekstrem) Anda tidak perlu khawatir tentang iklan rute.

Dengan asumsi saya tidak akan pernah, mengikat alamat IPv6 ke internet yang sebenarnya (router akan NAT & firewall itu), dapatkah saya mengabaikan RFC sampai batas tertentu dan pergi dengan fc00 :: 4: 0/120?

Jangan menganggap itu. Misalnya, Comcast saat ini sedang melakukan uji coba IPv6 dan mereka membagikan / 64 untuk pengguna akhir (slide 5); bukan hanya alamat tunggal yang mereka lakukan dengan IPv4. Ini berarti bahwa penguji IPv6 mereka yang sekarang berjalan memiliki opsi untuk berjalan dengan alamat yang dapat dilalui secara global, tetapi diblokir oleh router mereka, atau melakukan semacam NAT dengan alamat tautan-lokal atau unik-global.

Namun, menjalankan tanpa terjemahan alamat apa pun tidaklah gila seperti kedengarannya . Ingat beberapa poin.

  • Comcast membagikan subnet / 64 kepada Anda, jadi penyerang Anda sudah tahu seperti apa ruang IP Anda.
  • A / 64 memberikan pikiran sejumlah besar potensi alamat. Nilai 2 ^ 64! Itu bernilai empat miliar IPv4 Internet untuk alamat IP. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Empat miliar kali empat miliar.) Sementara sifat autoprovisioning IPv6 mengurangi jumlah sebenarnya alamat yang perlu dipindai, pemindaian itu masih tidak layak.
  • Kecuali jika Anda mengatur domain Anda sendiri untuk menyediakannya, Comcast tidak akan memberikan maju atau membalikkan pencarian DNS ke alamat IP Anda / 64-nilai. Ini sangat mengurangi kemampuan penyerang untuk merekonstruksi jaringan Anda.
  • Berjalan tanpa NAT membuat masalah jaringan tertentu lebih mudah, dan tentu saja membuat teknologi peer-to-peer yang tidak diinginkan tetapi sangat populer (Anda tahu apa yang saya bicarakan) jauh lebih mudah untuk bangkit dan berjalan.

Berjalan tanpa firewall masih sama gila dengan kedengarannya. Untungnya, Anda dapat melakukan firewall tanpa harus ke NAT.

Pertanyaan kedua, apa ini hal tautan lokal?

Anggap saja mampu menjangkau apa pun dalam domain siaran saat ini, dan tidak dapat dialihkan. Seperti NetBEUI-of-old. Bahkan, jika jaringan rumah Anda benar-benar datar, Anda dapat menggunakan alamat ini dan bukan Alamat Lokal Unik.

Pertanyaan ketiga, untuk apa id lingkup?

Ini digunakan untuk dua hal berbeda, yang membuatnya menjengkelkan untuk dijelaskan:

Hal 1: Multicast. Ini mendefinisikan seberapa jauh paket multicast dimaksudkan untuk dijangkau.

Hal 2: (Apa yang saya pikir Anda maksudkan) Ini digunakan pada URI sebagai cara mendefinisikan antarmuka mana yang akan digunakan. Ini digunakan terutama dengan alamat tautan-lokal. Seharusnya tidak digunakan bersama dengan notasi CIDR, sehingga dua sintaksis tidak boleh digabungkan.

sysadmin1138
sumber
Saya tidak akan menganggap NAT "penting" untuk keamanan, tetapi saya menganggapnya sangat berguna. Namun, sebagian besar, jaringan rumah saya sebagian besar datar. Saya sudah bermain-main dengan VLAN di router saya, jadi pergi dengan link-local terdengar seperti no-go, terutama jika itu ditentukan secara otomatis. Memiliki kontrol atas penomoran saya sendiri menarik bagi saya, jadi saya harus melihat lebih dalam fc00::7.
Kumba
ID Lingkup tampaknya hampir seperti Microsoft. Saya tidak pernah benar-benar mendengarnya sampai saya menemukan artikel MSDN IPv6. Jarang, saya telah melihat beberapa referensi di dokumentasi FreeBSD.
Kumba
Jawaban ini mencakup banyak hal. Masih banyak penelitian yang harus dilakukan, tetapi hal-hal sedikit lebih jelas sekarang. Terima kasih!
Kumba
@ Kumba Saya mengutip sebagian besar dari posting blog saya beberapa waktu lalu. Lembar contekan yang bagus: sysadmin1138.net/mt/blog/2010/09/...
sysadmin1138
3
@Kumba A / 64 adalah subnet v6 terkecil yang diizinkan oleh spec IPv6. Anda dapat memasukkan alokasi 34.000.000 / 64 (2x jumlah pelanggan Comcast 2009) dalam alokasi tunggal / 36. Karena Comcast memiliki setidaknya a / 32 (2001: 558/32) mereka mampu menjadi liberal. Mereka mungkin tidak akan membutuhkan / 32 lain untuk waktu yang sangat lama.
sysadmin1138
5

Anda tidak boleh menggunakan alamat yang dimulai dengan fc00:

Seperti dijelaskan dalam RFC 4193 itu adalah awalan 7 bit. Semuanya setelah 7 bit pertama itu harus diisi seperti yang dijelaskan dalam RFC. Metode yang saat ini didefinisikan akan selalu menghasilkan alamat yang dimulai dengan fd. 00 harus diganti dengan angka acak, dan dua kelompok berikutnya dari 16 bit juga harus acak yang membentuk total 40 bit.

Ada banyak halaman di internet yang dapat menghasilkan satu untuk Anda. Saya hanya ingin salah satu situs tersebut untuk mendapatkan contoh awalan seperti apa yang bisa terlihat seperti fdae: a212: e94d :: / 48

Seperti yang Anda tunjukkan, alamat-alamat itu adalah unicast global, tetapi alamat tersebut tidak seharusnya dapat dialihkan secara global. Jika perute Anda merutekannya secara eksternal secara default, sebaiknya konfigurasikan filter untuk mencegahnya. Hulu Anda juga harus memfilter, sehingga mereka hanya akan dirutekan di luar jaringan Anda jika Anda berdua memiliki router yang salah konfigurasi.

Kasper
sumber
Bukan saya. Saya sadar bahwa fc00 :: / 8 belum diberikan tujuan dalam kehidupan, jadi saya menggunakan subnet fd00 :: / 8 saat ini untuk jaringan rumah saya. Dan saya tidak tertarik dengan alamat acak. ISP saya bahkan belum menawarkan IPv6, jadi ini benar-benar internal, jadi saya berpegang teguh pada sesuatu yang sebenarnya bisa saya ingat.
Kumba
Setidaknya satu proyek bergantung pada fc00 :: / 8: Cjdns
Vi.
3

semua alamat dimulai dengan fe80: ada sesuatu yang link-lokal. Anda dapat menganggap "tautan" menjadi semua komputer yang terhubung ke jaringan yang diaktifkan tanpa router. Jadi alamat ipv6 tersebut hanya dapat digunakan untuk komunikasi di internet itu.

Bagian tersulit bagi kita manusia mungkin adalah bahwa mesin sekarang mengkonfigurasi diri mereka sendiri. Ada protokol yang disebut Neighbor Discovery Protocol (NDP) yang menangani mengatakan "halo" ke semua mesin lain di internet.

Jika Anda tidak ingin mesin mengakses internet maka ... jangan instal router.

Anda BISA mengatur ipv6 dengan tangan atau dengan server DHCP, tetapi Anda tidak perlu melakukannya. Itu salah satu kabar baik dengan ipv6.

Arno Teigseth
sumber
@ Arno: Ah, Jadi jika saya memiliki kotak I SSH di LAN internal saya, saya bisa menggunakan alamat link-local untuk SSH? Bisakah saya masih mengkonfigurasi fe80::/10alamat itu secara manual ke sesuatu yang saya suka? Atau apakah itu akan diatur secara otomatis berdasarkan desain IPv6 (dan implementasi stack OS tertentu)?
Kumba
PS: Mesin yang mengkonfigurasi sendiri. Hmm, di mana saya pernah melihat itu sebelumnya? :)
Kumba
Anda mungkin pernah melihat mesin konfigurasi sendiri di beberapa film :) Jangan biarkan mereka lepas landas, atau kita akan didominasi.
Arno Teigseth
1
tentang konfigurasi: en.wikipedia.org/wiki/Link-local_address (sistem operasi mengambil alamat MAC dari kartu jaringan, melakukan beberapa trik dan berakhir dengan fe80: sesuatu. Detail jeleknya ada di tools.ietf.org / html / rfc4862 , cari fe80 ...)
Arno Teigseth
Detail yang jelek.
Kumba